Pewnie już wiesz, że wirtualne sieci prywatne, czyli VPN, zapewniają Ci bezpieczeństwo w internecie. Ale to, jak działają i co dokładnie robią, może nadal być dla Ciebie niejasne. Dlatego w tym artykule opowiem Ci więcej o sieciach VPN i tunelach VPN – czym są, jak działają i jakie są ich różne rodzaje.
Spis treści
Co to jest tunel VPN?
Gdy łączysz się z internetem, używając VPN, ustanawiasz bezpieczne połączenie pomiędzy Twoim urządzeniem a siecią WWW, przez które przesyłane są Twoje dane. Takie połączenie nazywa się tunelem VPN – tunel VPN szyfruje i ukrywa Twoje dane, sprawiając, że stają nie nieczytelne dla osób nieposiadających właściwego klucza deszyfrującego.
Można to porównać do korzystania z usług osobistego kuriera zamiast poczty, z tym że taki kurier tłumaczy każdy list, który Ci dostarcza, na język zrozumiały tylko dla Ciebie. Dzięki temu nawet gdyby ktoś ukradł lub próbował przeczytać Twoją korespondencję, nic nie zrozumie!
To znaczy prawie nic. Bezpieczeństwo Twoich danych tak naprawdę zależy od protokołu szyfrowania używanego przez VPN, czyli od języka, na który kurier tłumaczy Twoje listy.
W świecie VPN dostępne są różne protokoły o różnym stopniu bezpieczeństwa, odpowiednie do różnych zastosowań – wszystkie omówimy w dalszej części artykułu. Ale zacznijmy od tego, jak wygląda cały proces i jak możesz utworzyć tunel VPN.
Jak działa tunel VPN?
Gdy klikasz w link lub pobierasz pliki z dowolnej strony internetowej, wysyłasz zapytania z prośbą o dane. Jeśli Twoje połączenie jest niezabezpieczone, takie dane są przekazywane z Twojego urządzenia do Twojego dostawcy usług internetowych, zanim trafią do internetu i wrócą do Ciebie z informacjami, jakie chcesz otrzymać.
W ten sposób Twój dostawca usług internetowych, strona internetowa i każda osoba czy podmiot szpiegujący Twoje połączenie mogą zobaczyć i zidentyfikować różne fragmenty przesyłanych przez Ciebie informacji. Następnie mogą wykorzystywać lub sprzedawać takie dane dla zysku.
Żeby tego uniknąć, sieć VPN nawiązuje bezpieczne połączenie z jednym ze swoich serwerów przez tunel VPN:
- Krok 1: Wysyłasz zapytanie o utworzenie tunelu VPN przez klienta VPN do jednego z jego serwerów.
- Krok 2: Podczas etapu 1 Twoje urządzenie i serwer VPN komunikują się ze sobą, identyfikując się nawzajem i sprawdzając, jakie zabezpieczenia muszą zastosować.
- Krok 3: W etapie 2 powstaje tunel VPN, przez które będą przesyłane Twoje dane.
- Krok 4: Zaszyfrowane dane są przesyłane tunelem VPN do internetu i z powrotem, dzięki czemu nie widzi ich nawet Twój dostawca usług internetowych.
- Krok 5: Po określonym okresie czasu lub określonej liczbie przesyłów informacji tunel automatycznie się zamyka. Jeśli nadal chcesz utrzymywać połączenie, cały proces rozpocznie się od nowa od kroku 1.
Proces może wydawać się nieco skomplikowany, ale zazwyczaj takie zabezpieczenie Twojego połączenia z internetem trwa tylko chwilę. Pytanie brzmi, jak bezpieczny jest tak naprawdę tunel VPN? Odpowiedź jest prosta: to zależy od protokołu tunelowania.
Protokoły VPN
Wszystkie protokoły VPN powstały po to, by zabezpieczać dane przesyłane pomiędzy różnymi sieciami, ale nie wszystkie są takie same – bezpieczeństwo protokołu internetowego zależy od siły używanego protokołu VPN.
Prawdę mówiąc, dobrych protokołów VPN nie ma zbyt wiele, ale sprawdź te, na które raczej na pewno trafisz.
SSTP
Zalety: | Wady: |
---|---|
Może omijać zapory sieciowe | Nigdy nie został przetestowany |
Kompatybilny z wysokiej klasy algorytmami szyfrowania | Trudna konfiguracja w innym systemie operacyjnym niż Windows |
Komunikacja i sprawdzanie ruchu internetowego na dobrym poziomie | Wymaga dużej przepustowości |
Łatwa konfiguracja w Windowsie | Kod jest niedostępny dla dostawców VPN, co wzbudza obawy o prywatność i bezpieczeństwo |
Secure Socket Tunneling Protocol (SSTP) to tunel VPN, który przesyła informacje bezpośrednio pomiędzy dwoma routerami bez hosta czy sieci. Protokół SSTP wykorzystuje kanał Secure Sockets Layer (SSL), który zapewnia komunikację, szyfrowanie i sprawdzanie ruchu na dobrym poziomie. Jest to bardzo bezpieczny protokół, który nie używa stałych portów, dzięki czemu łatwo omija zapory sieciowe.
Minusem protokołu SSTP jest to, że został stworzony pod system Windows i można go jeszcze skonfigurować tylko na Linuksie, w BSD i macOS. Poza tym nigdy nie został przetestowany, a jego kod nie jest powszechnie dostępny, przez co dostawcy VPN mają problemy z jego wdrożeniem. Jeśli chodzi o prędkość, SSTP też nie wypada najlepiej, ponieważ nie jest zbyt wydajny, chyba że ma do dyspozycji dużą przepustowość.
PPTP
Zalety: | Wady: |
---|---|
Bardzo szybki | Niekompatybilny z dobrymi standardami szyfrowania |
Łatwa konfiguracja | Łatwy do złamania |
Przestarzały i zapomniany |
Protokół PPTP (Point-to-Point Tunneling Protocol) jest raczej przestarzały. Ma bardzo słabe zabezpieczenia, co wynika z braku odpowiednich metod szyfrowania. Potwierdziły to różne agencje rządowe, w tym NSA, którym całkiem łatwo udało się go złamać.
Ale zaletą protokołu PPTP jest jego prostota, dzięki czemu protokół nadal może być używany w określonych przypadkach. Do dnia dzisiejszego PPTP nie ma sobie równych w zakresie prędkości połączenia i łatwości konfiguracji. Ten protokół tunelowania jest cały czas bardzo przydatny do streamowania audio lub wideo, sprawdza się także w urządzeniach z wolnymi i przestarzałymi procesorami.
Jednak nie możemy go polecić, chyba że w danym przypadku bezpieczne połączenie nie jest priorytetem.
L2TP/IPsec
Zalety: | Wady: |
---|---|
Lepiej zabezpieczony od PPTP ale nadal niewystarczająco bezpieczny | Przestarzały |
Relatywnie szybki | Nie posiada szyfrowania |
Słabo sprawdza się w omijaniu zapór sieciowych | |
Słabe uwierzytelnianie, słaba integralność |
Layer 2 Tunneling Protocol (L2TP) to następca protokołu PPTP, który miał naprawić wady swojego poprzednika. Protokół L2TP jest używany razem z protokołem Internet Protocol Security suite (IPsec), co daje dwie warstwy ukrywania i szyfrowania danych. Tego protokołu często używają dostawcy internetu, żeby dostarczać część swoich usług.
L2TP jest kompatybilny z AES-256 – wiodącym w branży algorytmem szyfrowania danych. Dzięki warstwowym zabezpieczeniom protokół L2TP jest relatywnie bezpieczny, ale jego zalety bledną w porównaniu do procesów uwierzytelniania i weryfikacji, jakie oferują protokoły IKEv2, OpenVPN i WireGuard.
L2TP jest wprawdzie bezpieczniejszym protokołem tunelowania od swojego poprzednika, ale ceną za większe bezpieczeństwo jest mniejsza prędkość i elastyczność. Ze względu na podwójny proces szyfrowania przesyłanie danych jest dużo wolniejsze. L2TP używa także stałych portów i dosyć często nie jest w stanie obejść zapór sieciowych, przez co jego użytkownicy są częściej blokowani przez strony internetowe z lepszą infrastrukturą.
Shadowsocks
Zalety: | Wady: |
---|---|
Dobry do omijania cenzury | Dobry tylko do omijania cenzury |
Open source, stale rozwijany | Szyfruje i ukrywa tylko ruch w przeglądarce |
Prawie niemożliwy do wykrycia | |
Relatywnie szybki |
Shadowsocks to protokół szyfrowania VPN typu open source, który powstał do omijania cenzury internetowej. Mimo że nie jest serwerem proxy, może kierować ruch internetowy do urządzenia użytkownika przez zewnętrzny serwer proxy socks5 i z użyciem innego języka.
Początkowo był najlepszym sposobem na omijanie ograniczeń nałożonych przez Chiński Mur Ogniowy, jednak nie jest dopracowany i nie sprawdza się zbyt dobrze w modelu usług VPN oferowanych przez dostawców.
OpenVPN
Zalety: | Wady: |
---|---|
Solidna ochrona | Przeciętna prędkość |
Dobra metodologia uwierzytelniania i weryfikacji | Trudna ręczna konfiguracja |
Szyfrowanie wysokiej klasy | |
Open source |
OpenVPN to wielofunkcyjny system VPN typu open source do połączeń point-to-point lub site-to-site dla aplikacji klienta i aplikacji serwerowych. OpenVPN pozwala również hostom na wzajemne uwierzytelnianie z użyciem kluczy wstępnych (PSK), danych uwierzytelniających i certyfikatów – zapewnia to bardzo bezpieczny i płynny proces dwustronnego potwierdzania.
Protokół OpenVPN jest uważany jedną z najbezpieczniejszych i powszechnie dostępnych opcji dla usług VPN, ponieważ może być wdrażany jako protokół. Wykorzystuje algorytm szyfrowania AES-256 i działa na różnych platformach, np. Windows, Mac, Android czy iOS.
Dzięki temu, że opiera się na otwartym oprogramowaniu, jest ciągle weryfikowany przez ekspertów i guru ds. cyberbezpieczeństwa. Jedyną prawdziwą wadą protokołu OpenVPN jest to, że oferuje przeciętną prędkość i trudno go ręcznie skonfigurować bez dodatkowego oprogramowania.
IKEv2
Zalety: | Wady: |
---|---|
Solidna ochrona | Prędkość zależy od odległości pomiędzy urządzeniem a serwerem |
Duże prędkości | |
Szyfrowanie wysokiej klasy | |
Dobra metodologia uwierzytelniania i weryfikacji |
Internet Key Exchange version 2 (IKEv2) to popularny protokół wśród użytkowników urządzeń mobilnych, którzy doceniają jego prędkość i bezpieczeństwo. Jest połączony ze zbiorem protokołów IPsec do tworzenia skojarzeń zabezpieczeń pomiędzy hostami, co działa podobnie jak certyfikaty wstępne protokołu OpenVPN.
Protokół IKEv2 jest kompatybilny z większością najnowocześniejszych algorytmów szyfrowania, w tym AES-256, i jest całkiem prosty do skonfigurowania. Jego największą zaletą jest jego wyjątkowo duża prędkość podczas łączenia się z najbliżej położonymi serwerami.
WireGuard
Zalety: | Wady: |
---|---|
Solidna ochrona | Nadal relatywnie nowy |
Tylko 4000 wierszy kodu | |
Open source | |
Szyfrowanie wysokiej klasy | |
Super prędkość | |
Stabilna łączność i szybkie ponowne łączenie | |
Przyjazny dla użytkowników |
WireGuard® to najmłodszy z protokołów. Jest to protokół komunikacyjny VPN i oprogramowanie w jednym, zaprojektowany do lepszego wykorzystywania zasobów i większej wydajności niż IPsec i OpenVPN, zachowując przy tym ten sam poziom zabezpieczeń. WireGuard* ustanawia bezpieczne połączenia point-to-point, ale składa się tylko z 4000 wierszy kodu. Dla porównania, OpenVPN ma ich 400 000, a IPsec – 600 000.
Dzięki temu audyty bezpieczeństwa są dużo prostsze do przeprowadzenia, spada też prawdopodobieństwo zerwania połączenia VPN, a gdy już to się stanie, połączenie nawiązuje się szybciej. Jest to istotne dla osób, które głównie używają tuneli VPN do celów bezpieczeństwa.
WireGuard jest darmowy i udostępniany jako open source, posiada też łatwą do zainstalowania aplikację (w porównaniu do OpenVPN). Jest także dostępny jako niezależny protokół, dzięki czemu dostawcy VPN mogą stosować go w swoich usługach.
* WireGuard to zarejestrowany znak towarowy Jasona A. Donenfelda.
Jak widzisz, niektóre protokoły tunelowania zostały stworzone dla konkretnych zastosowań, inne są przestarzałe i pełne luk w zabezpieczeniach. Więc dobrze zastanów się przed ich wyborem! À propos wyborów, istnieje jeszcze jedna opcja tunelowania, o której warto wspomnieć: dzielone tunelowanie (split tunneling).
Co to jest dzielone tunelowanie VPN?
Dzielone tunelowanie VPN (ukryte pod nazwą Bypasser w aplikacjach Surfshark) to funkcja, która pozwala Ci wybrać, co ma przechodzić przez tunel VPN. Jest przydatna, gdy chcesz zabezpieczyć tylko jedną aplikację lub gdy chcesz chronić wszystko oprócz jednej aplikacji. Na przykład, możesz wybrać, by cały ruch – oprócz aplikacji z banku – przechodził przez VPN. Dzięki temu ochronisz swoją aktywność w internecie, a Twój bank nie będzie blokować transakcji z innego kraju.
Plusy i minusy dzielonego tunelowania VPN
Zalety: | Wady: |
---|---|
Ochrona prywatnych informacji | Nie wszystko jest chronione |
Zawsze są jakieś dane, które trzeba zaszyfrować. Jeśli chcesz wyłączyć VPN z jakiegokolwiek powodu, funkcja dzielonego tunelowania pozwala Ci to bezpiecznie zrobić i nie narażać wrażliwych danych na ujawnienie. | Być może jedynym minusem dzielonego tunelowania jest cel, dla którego powstało. Jeśli wykluczysz z bezpiecznego połączenia niektóre aplikacje, narażasz je na niebezpieczeństwo, ponieważ ich ruch nie jest szyfrowany. |
Różne adresy IP | |
Czasami zmiana adresu IP nie jest zbyt dobrym rozwiązaniem. Jeśli korzystasz z bankowości internetowej lub streamujesz, czasami musisz używać prawdziwego adresu IP, żeby uniknąć naruszenia warunków usługodawców. I właśnie do tego przydaje się dzielone tunelowanie. | |
Dostęp do domowych urządzeń | |
Większość bezprzewodowych urządzeń w Twoim domu łączy się z tą samą siecią co Twoje główne urządzenie. To może być problem, ponieważ po włączeniu VPN takie urządzenie wydaje się łączyć z innej sieci. Dzięki dzielonemu tunelowaniu możesz używać bezprzewodowych urządzeń bez ciągłego włączania i wyłączania VPN. | |
Wykluczanie aplikacji zużywających dużo danych | |
Szyfrowanie może spowolnić Twoje urządzenie. Zazwyczaj spadek prędkości jest ledwo zauważalny, ale jeśli używasz aplikacji zużywających dużo danych, może stać się irytujący. Z dzielonym tunelowaniem możesz wykluczyć takie aplikacje z połączenia VPN, zachować dobrą prędkość i chronić swój ruch. |
Podsumowanie: używanie różnych protokołów VPN
Dostępnych jest tyle różnych protokołów tunelowania VPN, że wybór jednego może wydawać się dosyć trudny. Ale to tylko pozory: różnice pomiędzy protokołami dotyczą głównie kwestii technicznych i nie powinny Cię generalnie interesować, jeśli chcesz tylko ukryć swoje dane i streamować filmy z Netfliksa.
WireGuard i OpenVPN są dobrym wyborem pod kątem prędkości i bezpieczeństwa podczas codziennego przeglądania internetu na komputerze lub laptopie. W zależności od lokalizacji i dostępności serwera VPN protokół IKEv2 może okazać się lepszy, jeśli używasz telefonu komórkowego.
Ogólnie rzecz biorąc, większość dostawców VPN oferuje jeden lub dwa z nich, w zależności od sytuacji. Za to Surfshark ma wszystkie trzy, o co prosili nasi użytkownicy. Pamiętaj tylko, że jeśli nie chcesz, nie musisz ich wcale wybierać ani ręcznie konfigurować – w Surfshark wszystko konfigurujemy za Ciebie!
30-dniowa gwarancja zwrotu pieniędzy
Włącz SurfsharkNajczęściej zadawane pytania
Co to jest VPN z pełnym tunelem?
Jest to sieć VPN, która zabezpiecza cały ruch na Twoim urządzeniu. Takiej sieci VPN prawdopodobnie używasz. Jeśli ją włączysz, chronisz wszystko na swoim urządzeniu – bez konieczności wykonywania dodatkowych kroków.
Jaki jest najlepszy tunel VPN?
Gdy mówimy o najlepszym tunelu VPN, chodzi nam o protokół tunelowania. Najlepszy z nich to WireGuard. Oczywiście nie oznacza to, że inne są dużo gorsze lub że nie sprawdzą się lepiej w Twoim przypadku. Jako że jakość protokołu zależy w dużej mierze od sieci, najlepszym protokołem dla Ciebie może być inny protokół.
Jak używać dzielonego tunelowania?
W Surfshark jest to bardzo proste dzięki funkcji Bypasser. Włącz ją w ustawieniach, wybierz aplikację lub stronę, którą chcesz wykluczyć z połączenia (lub vice versa), i gotowe.